HOME»情報処理安全確保支援士掲示板»2018年秋 午後Ⅰ問2 設問4(2)
投稿する
»[0524] 2018年春 午後Ⅱ問2 設問4(2) 投稿数:1
»[0523] 過去問はどの程度前のものまでやるべきか? 投稿数:3
2018年秋 午後Ⅰ問2 設問4(2) [0526]
あっぷるさん(No.1)
同じL2SWに接続されたPC同士のワーム感染を防ぐ対策ですが
VLANを使い、PC間の通信を禁止するというのが解答ですが
L3SW経由で通信できてしまわないでしょうか
わかる方お願いしますm(_ _)m
VLANを使い、PC間の通信を禁止するというのが解答ですが
L3SW経由で通信できてしまわないでしょうか
わかる方お願いしますm(_ _)m
2020.09.01 22:41
助け人さん(No.2)
あるL2SW→それがつながっているL3SW→あるL2SWと同じL2SW
という経路ですか?
同一ネットワークのホスト宛のパケットは、L3SWに転送されません。
という経路ですか?
同一ネットワークのホスト宛のパケットは、L3SWに転送されません。
2020.09.02 10:55
あっぷるさん(No.3)
助け人さん
ありがとうございます
L2SW→L3SW→L2SWです
持っている問題集の解答ではVLAN使っても上位のL3SW経由で通信できるから
VLANを使い、PC間の通信を禁止するという解答はいまいちだけで
問題文に従いましょうと書いてあるのですが
L3SW経由で通信できるのかが気になっています
できないのでしょうか
お願いしますm(_ _)m
ありがとうございます
L2SW→L3SW→L2SWです
持っている問題集の解答ではVLAN使っても上位のL3SW経由で通信できるから
VLANを使い、PC間の通信を禁止するという解答はいまいちだけで
問題文に従いましょうと書いてあるのですが
L3SW経由で通信できるのかが気になっています
できないのでしょうか
お願いしますm(_ _)m
2020.09.02 19:29
助け人さん(No.4)
その問題集(いったい、どこ?)は、「VLAN・・・はいまいち」で「問題文に従いましょう」としながら、結局、どんな解答と解説を書いているのでしょうか?
2020.09.02 20:11
あっぷるさん(No.5)
助け人さん
正確に書きます
VLANを使ってPC間の通信を禁止すると言っても上位のL3SW経由で通信できます。
このワームVは図3にあるように同一セグメントを超えた感染もできます
それにポートごとに異なるVLANを設定するのも違和感があります
たとえば、アライドテレシスのマルチプルVLANなどのようにPC間の通信を禁止する機能を
有効にするなら現実的だと思いますが…
試験問題に違和感があったとしても問題文をヒントに読み込み作問者の意図を組んだ回答にしましょう
だいたいこんな感じです
正確に書きます
VLANを使ってPC間の通信を禁止すると言っても上位のL3SW経由で通信できます。
このワームVは図3にあるように同一セグメントを超えた感染もできます
それにポートごとに異なるVLANを設定するのも違和感があります
たとえば、アライドテレシスのマルチプルVLANなどのようにPC間の通信を禁止する機能を
有効にするなら現実的だと思いますが…
試験問題に違和感があったとしても問題文をヒントに読み込み作問者の意図を組んだ回答にしましょう
だいたいこんな感じです
2020.09.02 20:48
助け人さん(No.6)
その問題集にある、「ポートごとに異なるVLANを設定するのも違和感があります(中略)マルチプルVLAN(中略)現実的」は納得しますが、IPAの解答例は、マルチプルVLANを想定しながらも、あえてこの用語を使わずに、ポートベースVLANも排除せず、単にVLANとしたのではないかと思います(好意的に考えれば)。
気になるのは、「VLANを使ってPC間の通信を禁止すると言っても上位のL3SW経由で通信できます。このワームVは図3にあるように同一セグメントを超えた感染もできます」です。
確かに、ワームVは、1.1.1.1から223.255.255.255の範囲に対して感染を試みるわけで、自分と異なるネットワークにL3SWを経由してパケットを送信しますが、設問で問われているような、同じL2SWに接続されたPC同士がL3SW経由で通信できることが疑問です。
感染したPCが、同じL2SWに接続された別のPCにパケットを送信する動作を考えると、宛先IPアドレスのネットワークが自分と同じですから、そのIPアドレスを指定したARP要求によって別のPCのMACアドレスを取得し、そのMACアドレスを宛先MACアドレスに指定してパケットを送信します。そうすると、L3SW経由にはなりません。
どのようにしたらL3SW経由で送信できるかを考えたのですが、宛先IPアドレスのネットワークが自分と同じでも、わざと、デフォルトゲートウェイであるL3SWのIPアドレスを指定したARP要求によってL3SWのMACアドレスを取得し、そのMACアドレスを宛先MACアドレスに指定してパケットを送信します。そうすると、L3SWに送信され、L3SWは別のPCに転送、つまり、L2SWに戻すのではないかと。しかし、ワームVが、そのような不自然な動作をコントロールするという前提です。
気になるのは、「VLANを使ってPC間の通信を禁止すると言っても上位のL3SW経由で通信できます。このワームVは図3にあるように同一セグメントを超えた感染もできます」です。
確かに、ワームVは、1.1.1.1から223.255.255.255の範囲に対して感染を試みるわけで、自分と異なるネットワークにL3SWを経由してパケットを送信しますが、設問で問われているような、同じL2SWに接続されたPC同士がL3SW経由で通信できることが疑問です。
感染したPCが、同じL2SWに接続された別のPCにパケットを送信する動作を考えると、宛先IPアドレスのネットワークが自分と同じですから、そのIPアドレスを指定したARP要求によって別のPCのMACアドレスを取得し、そのMACアドレスを宛先MACアドレスに指定してパケットを送信します。そうすると、L3SW経由にはなりません。
どのようにしたらL3SW経由で送信できるかを考えたのですが、宛先IPアドレスのネットワークが自分と同じでも、わざと、デフォルトゲートウェイであるL3SWのIPアドレスを指定したARP要求によってL3SWのMACアドレスを取得し、そのMACアドレスを宛先MACアドレスに指定してパケットを送信します。そうすると、L3SWに送信され、L3SWは別のPCに転送、つまり、L2SWに戻すのではないかと。しかし、ワームVが、そのような不自然な動作をコントロールするという前提です。
2020.09.02 22:09
あっぷるさん(No.7)
助け人さん
ありがとうございました
マルチプルVLAN実は知らなかったので調べてみました
L3SW経由で送信する方法がもやもやしていましたが
助け人さんの説明ですっきりしました
ありがとうございましたm(_ _)m
ありがとうございました
マルチプルVLAN実は知らなかったので調べてみました
L3SW経由で送信する方法がもやもやしていましたが
助け人さんの説明ですっきりしました
ありがとうございましたm(_ _)m
2020.09.02 23:30
その他のスレッド
»[0525] 平成28年春午後1問2設問4 投稿数:6»[0524] 2018年春 午後Ⅱ問2 設問4(2) 投稿数:1
»[0523] 過去問はどの程度前のものまでやるべきか? 投稿数:3